Mijn Communities
Help

Ernstige kwetsbaarheden in algemeen gebruikte software ontdekt - Apache Log4j

door MikeChin (Bijgewerkt ‎20-12-2021 09:38 door MikeChin VISMA )
 

Visma .net HRM en Payroll
Na het publiceren van de kwetsbaarheid is tevens een inventarisatie gedaan van Visma.net HRM en - Payroll systemen. Uit deze inventarisatie is naar voren gekomen dat Visma.net HRM en -Payroll applicaties géén gebruik maken van kwetsbare Log4j libraries.

 

 
Ernstige kwetsbaarheden in algemeen gebruikte software ontdekt
Zoals je wellicht begrepen hebt is er in een bekende Java logging bibliotheek een kwetsbaarheid ontdekt die actief misbruikt wordt. Een zogenaamde zero-day vulnerability. Uiteraard is er direct nadat de eerste berichten hierover bekend werden actie ondernomen binnen Visma | Raet en Visma | YouServe om na te gaan of ook wij kwetsbaar zijn.

 

Wat is er tot nu toe bekend.

Er is een kwetsbaarheid ontdekt in een Apache Log4j bibliotheek die gebruikt wordt voor het loggen van gegevens. Deze informatie werd afgelopen donderdag wereldkundig gemaakt.
Daarbij werden tevens oplossingen bekend gemaakt die kunnen voorkomen dat je nog langer kwetsbaar bent.
Het probleem kan zich voordoen bij de eigen toepassingen maar ook in systemen van leveranciers of onderdelen die wij bij het aanbieden van onze producten en diensten gebruiken.

Door o.a. Development, Operations & Security is vanaf dat moment onderzocht of de systemen die wij gebruiken voor onze dienstverlening kwetsbaar zijn. Naast dat gericht naar onze SaaS systemen gekeken is, is er ook gekeken naar software van leveranciers die gebruikt worden om onze diensten te leveren.

Op dit moment zijn de resultaten van de eerste inventarisatie binnen en is er voor zover bekend geen sprake van onmiddellijke dreiging voor onze systemen.

 

On premises

Talent & Salaris omgeving van vóór 2020 (de Onpremises software) wordt niet geraakt door de Log4J problematiek. Onze applicatie maakt geen gebruik van Java of een ander extern tool met Java. We raden de klant wel aan om de server te controleren op mogelijk andere tools die wel gebruik maken van Java Log4J.